专栏名称: 骨哥说事
关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。
今天看啥  ›  专栏  ›  骨哥说事

发现Facebook SSRF,收获31500美元赏金的故事【1】

骨哥说事  · 公众号  ·  · 2024-10-17 21:35
    

文章预览

声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文: https://gugesay.com/archives/3476 不想错过任何消息?设置星标 ↓ ↓ ↓ 前言 这是一个4年前白帽发现的漏洞,虽然已经过去了4年之久,但这个漏洞的挖掘方式和思路依然值得我们学习,让我们开始吧。 信息收集 通过子域枚举,发现一处子域“ https://m-nexus.thefacebook.com/ ”,访问该子域会重定向到“ https://m-nexus.thefacebook.com/servlet/mstrWebAdmin” : 通过关键字 mstrWebAdmin 搜索 ,发现这是基于MicroStrategy工具构建的商业智能门户: 从MicroStrategy的官方配置文档中,可以发现有两个端点允许公开访问: 进一步查看 MicroStrategy 的官方配置文档,发现默认情况下(URL:“ https://m-ne ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览